Het schrikbeeld van de AVG, is dat terecht of niet?
'Bedrijven in paniek over Europese privacywet’
(Het Financiële Dagblad, maandag 14 augustus 2017)
‘Hoge boetes als maatregel tot handhaving AVG’
(Volkskrant 17 maart 2018)
’Nieuwe privacywet raakt elk bedrijf’
(Telegraaf, 7 november 2017)
Zomaar een paar krantenkoppen die een schrikbeeld oproepen van de AVG die 25 mei 2018 in werking treedt. Andere geluiden in de media lijken dat beeld te relativeren. Dat het allemaal niet zo bijzonder is wat er gaat veranderen. Veelal met de bijzin, dat er onder de huidige wetgeving (Wbp) al een hoop moest. Dat is mijns inziens wat kort door de bocht, omdat het overgrote merendeel van de organisaties die persoonsgegevens verwerken, niet voldoet aan de huidige wetgeving.
Wat mij betreft ligt de nuance ergens daar tussen. Ja, er moest al een boel onder de Wbp, dat klopt. Ook op grond van de bestaande wetgeving heeft de autoriteit een boetebevoegdheid en in 2016 werd de wet uitgebreid met de meldplicht van datalekken.
Onder de AVG moet er nog meer, maar voor de één meer dan voor de ander. Wat zijn concrete aandachtspunten voor een MKB-bedrijf met ongeveer 50 werknemers?
Een eerste vereiste is het verkrijgen van inzicht. Bij welke bedrijfsprocessen vindt verwerking van persoonsgegevens plaats (en eventueel uitwisseling met derden)? Vervolgens dient te worden vastgesteld welke eisen de AVG aan de organisatie stelt. Eventuele actiepunten kunnen daaruit worden afgeleid;
Het bijhouden van een intern register van verwerkingsactiviteiten voor zover de gegevensverwerking een hoog privacy risico inhoudt voor betrokkenen, niet incidenteel zijn of een verwerking betreft van bijzondere persoonsgegevens zoals godsdienst, medische gegevens of politieke voorkeur. Dit dient elke organisatie vast te stellen door middel van een DPIA (in goed Nederlands: ‘gegevensbeschermingseffectbeoordeling’);
Het bijhouden van datalekken in een intern register;
Zo nodig kunnen aantonen dat een betrokkene toestemming heeft gegeven voor een gegevensverwerking.
Hoewel het MKB onder omstandigheden vrijstellingen geniet (zoals bijvoorbeeld de vrijstelling voor het aanstellen van een Functionaris Gegevensbescherming) zijn de bovenstaande punten niet uitputtend. Wel geven ze allemaal invulling aan het credo, dat onder de AVG een organisatie moet kunnen aantonen dat hij zich op elk moment aan de wet heeft gehouden.